Me han robado todos los bitcoins de mi cartera de Localbitcoins esta tarde-noche

[androz]

Lo siento por lo que ha sucedido. Recientemente ha habido un aumento de este tipo de fraude. l'autenticacion de doble factor/antivirus por desgracia no es suficiente para dormir tranquilo  

[edukoBIT]

Buenas de nuevo compañeros, acabo de llegar de poner la denuncia en la Policia Nacional, ya que en la G.Civil me han dicho que en mi caso era quien se ocuparia de ella, ya que cuentan con una unidad de Delicuencia Economica y Telematica.

Primero de todo gracias por el apoyo pues para mi ha sido un duro golpe despues de perder los fondos en Mtgox en su dia. Ahora haya recibido un golpe mayor, ya que he perdido mas bitcoins que en mtgox. Asi que la verdad es que cuesta mantenerse igual de animado.

He estado mirando lo que comentabas elbill pero no me salen tantas conexiones como a ti o con direcciones largas y que ponga conexion establecida. Tampoco entiendo muy bien sobre este tema aunque lo mirare.

Respecto a lo que comentas Jaime, no he recibido ninguna advertencia de mi correo en este caso uso Gmail acerca de que hayan intentado entrar a mi correo o algo parecido.

Y sobre las recomendaciones que planteas, gracias, voy a intentar aplicarlas todas las que propones para mejorar la seguridad.

PD: Sigo a la espera de una respuesta por parte de Localbitcoins, no se si estaran investigando el caso o que, pero todavia no se han pronunciado al respecto. En cuanto me digan cosas lo hare saber.

Un saludo

[dserrano5]

veo que el skype, en mi caso el pid 2420 se conecta como con 10 o 12 IPs distintas, eso es grave?

El problema no es que sea grave, el problema es que no lo sabes. Es fundamental conocer nuestro sistema para saber lo que es normal y anormal, y detectar algo raro cuando ocurre. Sí, ya sé que no podemos pedirles eso a nuestros padres/abuelos.

3) Cuando visites sitios relacionados con bitcoin, Javascript desactivado. Crea un usuario en Chrome sólo para eso y configúralo.

O mejor aún, desactivar js en todas partes menos donde haga falta. Que es en muchos sitios .

5) […] y a ser posible nunca instales una versión muy reciente (para que de tiempo a que los zero-day salgan a flote).

Los 0day van a aparecer en cualquier versión, no solo en la última. Pero la última corrige todos los errores conocidos. Este me parece un mal consejo.

PD: Sigo a la espera de una respuesta por parte de Localbitcoins, no se si estaran investigando el caso o que, pero todavia no se han pronunciado al respecto. En cuanto me digan cosas lo hare saber.

En 24 horas desde tu último mensaje dales cañita, que no se "olviden" ni lo "dejen pasar".

[roterdam]

tambien me parce muy importante el tema del sistema operativo (aunque en este caso parece que no vienen por ahi los tiros), yo me decantaria por una opcion basada en linux para mi hoy por hoy windows y bitcoin son polos opuestos.

[btc2014]

si usas  gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo

[Shawshank]

Una pregunta algo relacionada.

¿Se podría considerar seguro conectarse a este tipo de sitios o a exchanges desde una tablet android?
Hasta ahora no lo he hecho por miedo y desconocimiento.

Diría que es seguro si cumples dos condiciones a rajatabla.

1) Contraseña segura, suficientemente larga, que no utilices en ninguna otra web.
2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y  que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.

Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.

[roterdam]

2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y  que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.

Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.

podrias explicar esto del mismo dispositivo mas tecnicamente (donde podria estar el fallo de seguridad)?
me resulta interesante

[principiante]

Hola elbill, disculpá mi ignorancia: si tenes un minuto y ganas, me explicas un poco que es esa pantalla?
¿el comando netstat te lista todas las conexiones actuales verdad?
esos 2 IPs que se ven, del pid de java abrieron los puertos 13404 y 37653 respectivamente en forma automática? acceden a tu router y los abren? como es eso?

Yo intenté hacer una muestra como la tuya y veo que el skype, en mi caso el pid 2420 se conecta como con 10 o 12 IPs distintas, eso es grave?

Gracias y disculpa si estoy preguntando una estupides.

@principiante

Si claro, el netstat te lista las conexiones del equipo, con -ano vemos las conexiones y puertos a la escucha, y el proceso (PID) involucrado. Y luego con tasklist comprobamos a qué proceso pertenece ese PID.


En la imagen que puse vemos que el proceso java esta conectado a 2 IPs a los puertos 13404 y 36653 de esas dos ips respectivamente (no mis puertos). Creo que las conexiones de skype que mencionas están dentro de lo normal, seguramente estén conectadas al puerto 443 (HTTPS/SSL), lo raro en mi caso es que se conectan a puertos muy inusuales, sin ninguna aplicación ejecutándose, y que ademas he tenido esos incidentes en los que google te avisa que alguien ha intentado loguearse desde un sitio inusual.


Creo que es importante controlar periódicamente estas cosas porque como digo no detecta nada ni el Kaspersky, ni el Nod. Aunque creo que el caso de edukobit por lo que menciona de la doble autentificación puede que sea problema de localbitcoins y no de su PC.

Gracias, lo voy a poner en práctica.
Otra pregunta, yo en el listado veo mi IP local que es fija, pero también veo siempre el IP 127.0.0.1 que está siempre presente. ¿qué es esa dirección?

[edukoBIT]

si usas  gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo

He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización.

Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme entonces como alguien ha desabilitado la doble autentificación, si para poder desactivarla necesitas uno de los codigos que tengo impresos.

Alucinante....

Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins.

[principiante]

si usas  gmail vete a: cuenta - seguridad- actividad reciente
y ahi te saldra todas las ips que se conectaron a tu correo

He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización.

Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme como alguien ha desabilitado la doble autentificación.

Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins.

La verdad que es muy raro. Yo ayer la deshabilité momentáneamente para cambiar la matriz de números por otra y para ello me pidió justamente el código que seguía (no recuerdo bien si iba por el 21 creo..)
Dónde tenías las cordenadas? impresas en un papel o grabadas en el disco? es alguien que tuvo acceso a tu hoja de coordenadas, estoy casi seguro.

[edukoBIT]

La verdad que es muy raro. Yo ayer la deshabilité momentáneamente para cambiar la matriz de números por otra y para ello me pidió justamente el código que seguía (no recuerdo bien si iba por el 21 creo..)
Dónde tenías las cordenadas? impresas en un papel o grabadas en el disco? es alguien que tuvo acceso a tu hoja de coordenadas, estoy casi seguro.

Como dije las tengo impresas en un papel.

Evidentemente imagino en la base de datos de Localbitcoins deben aparecer vinculadas a mi cuenta, y cuando fue hackeado puede que se robaran. Es lo unico que se me ocurre. No se que pensar ya la verdad.

El tema es que no se si habra mas casos o he sido el unico. De momento en el el foro español parece que si y buscando un poco por los ingleses pero no consigo ver nada...

[Antuam]

Otra pregunta, yo en el listado veo mi IP local que es fija, pero también veo siempre el IP 127.0.0.1 que está siempre presente. ¿qué es esa dirección?

Hola.

Esa IP es turismo PC, es también llamada la de localhost o lookback. Se suele usar para probar si te funcional el TCP/IP.
http://es.wikipedia.org/wiki/Localhost

Y siento mucho la situación EdukoBIT. Todo lo que ese relacionado con dinero, hace que se tenga que tener mucho cuidado y sobre todo, 1000 OJOS. Y aún así, te la cuelan.

Un abrazo.
Antuam

[Shawshank]

Diría que es seguro si cumples dos condiciones a rajatabla.

1) Contraseña segura, suficientemente larga, que no utilices en ninguna otra web.
2) 2FA real. Es decir, NUNCA te conectes a localbitcoins desde el móvil donde tienes Google Authenticator, y  que no haya ninguna referencia en ese móvil a localbitcoins o al correo que utilizas en localbitcoins.

Si cumples esos dos pasos a rajatabla, y te roban, puedes estar casi seguro que la web ha sido comprometida, aunque tengas todos tus dispositivos llenos de virus.

podrias explicar esto del mismo dispositivo mas tecnicamente (donde podria estar el fallo de seguridad)?
me resulta interesante

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA. A su vez, si el hacker te instala un keylogger en ese mismo móvil y tú te conectas a localbitcoins desde ahí, tendrá también acceso a tu contraseña. Con la semilla 2FA y con tu contraseña, ya tiene control absoluto de tu cuenta en localbitcoins.

Sin embargo, si en el móvil donde tienes instalado Google Authenticator no hay rastro de localbitcoins ni de la cuenta de correo electrónico que utilizas en localbitcoins, es prácticamente imposible que el atacante haga la asociación, y por tanto tu cuenta estará segura por lo que respecta a tu responsabilidad. Si cumples esos pasos y te han robado, podrías estar prácticamente seguro que localbitcoins habría sido hackeado.

Espero haber sido más claro...

[jaime]

Como dije las tengo impresas en un papel.

No sé si será el caso, pero si no han entrado en tu mail, hay que descartar otras opciones.

Hay malware que intercepta la comunicación con la impresora, que por defecto no va encriptada por lo que para imprimir (o mejor aún, copiar a mano) una tarjeta de claves o una llave privada, debes hacerlo desde un equipo offline 100% seguro y con cable directo a la impresora. Nada de redes.

Las claves deben bajar a tu equipo infectado ya encriptadas. De ahí copias en archivo encriptado a un USB que te llevas a tu equipo offline. Ahí lo desencriptas y lo imprimes o copias. Mejor si tu equipo offline es linux.

Por desgracia el uso seguro de bitcoins por ahora sigue siendo algo complicado hasta que tengamos dispositivos adhoc fáciles de usar.

[jaime]

5) […] y a ser posible nunca instales una versión muy reciente (para que de tiempo a que los zero-day salgan a flote).

Los 0day van a aparecer en cualquier versión, no solo en la última. Pero la última corrige todos los errores conocidos. Este me parece un mal consejo.

Tienes razón, mas que por los zero-day, quería referirme al caso del desarrollador que se pasa al lado oscuro o que tiene comprometida su firma y tuviera una vulnerabilidad durmiente a la espera de ser explotada en el futuro. En ese caso es probable que no se detectase desde un primer momento, pero sí mas tarde.

Es verdad que las últimas versiones pueden solucionar fallos de seguridad, pero salvo que ese sea el caso, sigo pensando que estar a la última conlleva ciertos riesgos.

[jaime]

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.

Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara.

Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles.

[Shawshank]

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.

Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara.

Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles.

Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento.

La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado.

[jaime]

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.

Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara.

Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles.

Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento.

La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado.

Lo del valor numérico en ese momento es complicado, pero sería posible, sobre todo en un dispositivo rooteado, por lo que tu consejo es bueno.

Lo de hacerse con la semilla lo veo casi imposible, pero nunca se sabe. Ya hemos visto cosas tremendas así que no me extrañaría.

[jaime]

He estado mirando, la actividad de mi correo y todas las conexiones, no hay ninguna conexion desde fuera o otro sitio que no sea mi ordenador y desde mi localización.

Asi que al menos a mi correo parece ser no se ha tenido acceso. No puedo explicarme entonces como alguien ha desabilitado la doble autentificación, si para poder desactivarla necesitas uno de los codigos que tengo impresos.

Alucinante....

Y nada de momento han pasado mas de 24h y seguimos sin noticias de Localbitcoins.

Pero si a partir de los datos robados de LocalBitcoin un atacante conoce tu direccion de correo, no es necesario que acceda a tu cuenta para poder hacer llegar a Localbitcoin un correo desde tu dirección.
El protocolo de correo electrónico no autentica el campo "from" del remitente. Se puede enviar el email desde un servidor cualquiera incluyendo en el "from" tu dirección, y el destinatario no tiene forma de contrastar la autenticidad del remitente.

Es igual que con el correo tradicional. Tu pones en el sobre la direccion del remitente y lo echas al buzón, pero dicha dirección no se certifica en ningun momento.

Efectivamente puedes enviar, pero no recibir, así que de poco te sirve. Ningún servicio hará ningún cambio crítico en tu cta. sin antes confirmar una clave ENVIADA a tu dirección. No creo que localbitcoins sea una excepción.

[Shawshank]

El problema de seguridad está en que si un hacker entra en el móvil en el que tienes Google Authenticator, se puede hacer con la semilla generadora de la cadena pseudoaleatoria de números de 2FA.

Esto que dices, ¿tienes más datos? Es que me parece muy serio y puede meter mucho miedo si no se aclara.

Imagino que si el hacker es capaz de acceder a la semilla, también podrá ver los servicios disponibles.

Si utilizas Google Authenticator desde el mismo dispositivo en el que tecleas tu nombre de usuario y contraseña, la seguridad adicional que proporcionaría 2FA es limitada. Conseguirías protegerte de keyloggers, pero no de otros virus más sofisticados. Estos últimos no tendrían problema en conseguir tu usuario, contraseña y la semilla de Google Authenticator, o directamente, el valor numérico de Google Authenticator en ese momento.

La buena noticia es que si utilizas un dispositivo para teclear usuario/contraseña y otro dispositivo completamente independiente para Google Authenticator, puedes estar prácticamente seguro de la integridad de tu cuenta, siempre y cuando, el propio sitio web de localbitcoins no haya sido hackeado.

Lo del valor numérico en ese momento es complicado, pero sería posible, sobre todo en un dispositivo rooteado, por lo que tu consejo es bueno.

Lo de hacerse con la semilla lo veo casi imposible, pero nunca se sabe. Ya hemos visto cosas tremendas así que no me extrañaría.

Hacerse con el valor de la semilla de Google Authenticator no es imposible si tienes el móvil hackeado. Es mucho presuponer que la semilla de Google Authenticator, que es un secreto compartido que hay que extraer en claro para generar la secuencia númerica, no va a estar accesible para un hacker que tenga los privilegios adecuados en tu dispositivo.

Iba a decir que sería muy factible que un hacker obtuviera el valor de la semilla si Google Authenticator fuera código abierto, pero acabo de leer que desde la versión 2.21, el código ha dejado de ser abierto y Google ha añadido una serie de workflows adicionales, supongo que con la intención de ofuscar el contenido de la semilla.